Сбор логов с устройств на сервере syslogd

Для начала настроим сам сервер. Для этого добавляем несколько строк в файл /etc/rc.conf

syslogd_enable="YES"
syslogd_flags=""

По умолчанию демон запущен с ключами. Видимо там ограничение есть, что можно писать в лог только от определенных IP.

Далее добавим строку в файл /etc/syslog.conf

local6.*                                        /var/log/facility/test.log

Создаем файл под сообщения и назначаем ему права

# touch /var/log/facility/test.log
# chown root:wheel /var/log/facility/test.log
# chmod 640 /var/log/facility/test.log

Теперь можно перезапустить демона

# killall -9 syslogd && syslogd

Серверная часть готова, переходим к настройке оборудования. Опишу на примере Cisco.

# conf t
# service timestamps log datetime
# logging trap debugging
# logging facility local6
# logging host <IP сервера>

Смотрим логи на сервере

# cat /var/log/facility/test.log
Dec 15 09:39:21 10.0.0.100 80: Dec 15 05:39:20.801: NTP Core (NOTICE): time reset 0.000000 s
Dec 15 09:39:21 10.0.0.100 81: Dec 15 05:39:20.801: NTP Core (NOTICE): trans state : 5
Dec 15 09:39:21 10.0.0.100 82: Dec 15 05:39:20.801: NTP Core (INFO): 0.0.0.0 C69C 0C clock_step
Dec 15 09:39:21 10.0.0.100 83: Dec 15 05:39:20.801: NTP Core (NOTICE): Clock synchronization lost.
Dec 15 09:39:21 10.0.0.100 84: .Dec 15 05:39:20.801: NTP Core (INFO): 0.0.0.0 C0AC 0C clock_step
Dec 15 09:39:21 10.0.0.100 85: .Dec 15 05:39:21.800: NTP Core (INFO): 10.0.0.11 8074 84 reachable
Dec 15 09:39:21 10.0.0.100 86: .Dec 15 05:39:21.800: NTP Core (INFO): 10.0.0.11 968A 8A sys_peer
Dec 15 09:39:21 10.0.0.100 87: .Dec 15 05:39:21.800: NTP Core (NOTICE): Clock is synchronized.

В логах видим, что оборудование уже обновило время и сделало об этом запись. Теперь у нас будет полная история событий.